Rootkit - strach przed nieznajomym

Inżynierowie Microsoftu zajmujący się bezpieczeństwem ostrzegają przed nową generacją szkodliwych programów, tzw. rootkit, które mogą zagrozić komputerom pracującym nie tylko pod kontrolą Windows.

Inżynierowie Microsoftu zajmujący się bezpieczeństwem ostrzegają przed nową generacją szkodliwych programów, tzw. rootkit, które mogą zagrozić komputerom pracującym nie tylko pod kontrolą Windows.

Zagrożenie wynika z faktu, że programy rootkit są praktycznie niewykrywalne przez obecnie stosowane mechanizmy zabezpieczeń. Dotąd obecność szkodliwego kodu udawało się stwierdzać dzięki analizie uruchomionych procesów, monitorowaniu komunikacji z zewnętrznymi systemami oraz śledzeniu instalowanych w systemie programów. W przypadku rootkit to nie wystarczy. Wykorzystują one bowiem zaawansowane mechanizmy modyfikacji rdzenia systemu operacyjnego. Niektóre wersje rootkit mogą przechwytywać, filtrować i modyfikować polecenia systemowe przekazywane do rdzenia systemu lub generowane przez ten rdzeń. W efekcie takie oznaki działania programu jak jego nazwa, uruchomiony proces i wykorzystywana pamięć, a także parametry zapisywane w rejestrze systemu są niewidoczne dla administratora i klasycznych narzędzi antywirusowych. Przykładem rootkit jest program Hacker Defender, który w Internecie pojawił się rok temu. Zawiera on m.in. mechanizmy szyfrowania transmisji TCP wychodzącej z komputera przez często stosowany port 135. Program nie przerywa transmisji realizowanych przez inne aplikacje, wykorzystując mechanizm nakładania informacji na inne strumienie danych. Na razie brakuje efektywnych, uniwersalnych metod wykrywania i usuwania tego typu szkodliwych kodów.

Według inżynierów Microsoftu, czasami możliwe jest wykrycie rootkit przy wykorzystaniu analizy prowadzonej z innego niezainfekowanego komputera w sieci. Można też spróbować uruchomić komputer z płyty CD zawierającej system Windows PE, a następnie przeprowadzić porównanie parametrów systemów operacyjnych na CD i dysku. Microsoft opracował też narzędzie do detekcji niektórych modułów rootkit - tzw. Strider Ghostbuster.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200